基于快速傅里叶变换的车载网络入侵检测方法、装置、设备和存储介质与流程

1.本发明涉及网络入侵检测技术领域，尤其涉及一种基于快速傅里叶变换的车载网络入侵检测方法、装置、设备和存储介质。


背景技术：

2.车载网络由电子控制单元(ecu)和总线组成，集自动化控制、通信、计算机等为一体。近年来车联网、智能汽车、无人驾驶、智能交通等概念的提出，使得外部网络与汽车的信息交互越来越频繁。
3.随着多网融合应用的增加，车载电子设备、电控单元与外界的信息交互也越来越多，车载网络面临的攻击威胁和风险类型也始终，其中拒绝服务或阻塞攻击是车载总线网络中常见攻击类型，拒绝服务攻击通过总线监听设备进行物理连接，发送大量无效数据，占用总线带宽，阻塞总线，直接影响合法数据实时传输。


技术实现要素：

4.有鉴于此，本发明所要解决的技术问题是：提供一种基于快速傅里叶变换的车载网络入侵检测方法、装置、设备和存储介质，能够对车载网络进行入侵检测，宏观标识系统健康度，实现以较低的误报率检测入侵检测。
5.为解决上述技术问题，本发明的技术方案是：
6.第一方面，本发明公开了一种基于快速傅里叶变换的车载网络入侵检测方法，所述入侵检测方法包括如下步骤：
7.s10、设定针对系统入侵检测的报警频率阈值及针对可疑事件发生时间的最大容忍值；
8.s20、收集单位时间周期内ecu实时操作系统的内核运行负荷数据以及车载网络的总线负载率数据；
9.s30、对所述运行负荷数据以及所述总线负载率数据的进行快速傅里叶变换，基于时域数据得到频域特征；
10.s40、将基于所述频域特征得到的计算结果与所述报警频率阈值进行对比，判断所述计算结果是否在所述报警频率阈值的范围内，若是，则返回执行s20；若否，则记为所述可疑事件，则执行下一步骤；
11.s50、累积所述可疑事件的发生时间，判断所述发生时间是否超过所述最大容忍值，若是，则返回执行下一步骤；若否，则返回执行s20；
12.s60、系统报警，启动安全防护措施。
13.优选的，所述计算结果包括基于所述频域特征得到单位时间周期内的振幅谱。
14.优选的，针对系统入侵检测的报警频率阈值，包括在模拟状态下、车辆正常运行中，针对ecu实时操作系统的所述内核运行负荷数据以及所述总线负载率数据进行快速傅
里叶变换获得的范围值。
15.优选的，所述总线负载率包括can总线负载率、canfd总线负载率。
16.优选的，所述安全防护措施包括通过ecu关闭数据接收通道，停止数据接收。
17.第二方面，本发明公开了一种基于快速傅里叶变换的车载网络入侵检测装置，所述装置包括：
18.赋值模块，用于针对系统入侵检测的报警频率阈值及针对可疑事件发生时间的最大容忍值；
19.数据收集模块，用于收集单位时间周期内ecu实时操作系统的内核运行负荷数据以及车载网络的总线负载率数据；
20.数据计算模块，用于对所述运行负荷数据以及所述总线负载率数据的进行快速傅里叶变换，基于时域数据得到频域特征；
21.阈值判断模块，用于将基于所述频域特征得到的计算结果与所述报警频率阈值进行对比；
22.时间判断模块，用于累积所述可疑事件的发生时间，判断所述发生时间是否超过所述最大容忍值；
23.结果输出模块，用于输出最终判定结果。
24.优选的，还包括：
25.返回执行模块，用于在所述计算结果与所述报警频率阈值对比后返回所述数据收集模块；及
26.所述发生时间与所述最大容忍值对比后返回所述数据收集模块。
27.第三方面，本发明公开了一种计算机设备，包括：
28.处理器；及
29.存储器，所述存储器存储有可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面中所述的基于快速傅里叶变换的车载网络入侵检测方法的步骤。
30.第四方面，本发明公开了一种计算机可读存储介质，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如第一方面中所述的基于快速傅里叶变换的车载网络入侵检测方法的步骤。
31.采用了上述技术方案后，本发明的有益效果是：
32.在本发明中，通过设定针对系统入侵检测的报警频率阈值、针对可疑事件发生时间的最大容忍值，以及对单位时间周期内ecu实时操作系统的内核运行负荷数据以及车载网络的总线负载率数据进行收集，在一定程度上能够宏观标识系统健康度，对于随机性表现不强、具有规律性的数据，具有检测效果，收集后的内核运行负荷数据和总线负载率进行快速傅里叶变换，得到频域特征，基于频域特征获得的计算结果与报警频率阈值比对，位于报警频率阈值范围外的记为可疑事件，然后对可疑事件进行计时，超过最大容忍值则判定为存在入侵，进行报警及安全防护。本发明旨在通过根据内核运行负荷数据，得出系统运行状态，通过对系统运行状态和总线负载率的数据采集，利用宏观系统健康度的属性数据，进行快速傅里叶变换，实现对网络总线入侵进行检测，具有较低的误报率和快速检测效果。
附图说明
33.下面结合附图和实施例对本发明进一步说明。
34.图1是本发明实施例提供的一种基于快速傅里叶变换的车载网络入侵检测方法的总体流程图；
35.图2是本发明实施例提供的一种基于快速傅里叶变换的车载网络入侵检测方法的流程图；
36.图3是本发明实施例提供的一种基于快速傅里叶变换的车载网络入侵检测装置的结构示意图；
37.图4是本发明实施例提供的一种计算机设备的结构示意图。
具体实施方式
38.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
39.如图1和图2所示，本发明公开了一种基于快速傅里叶变换的车载网络入侵检测方法，包括如下步骤：
40.s10、设定针对系统入侵检测的报警频率阈值及针对可疑事件发生时间的最大容忍值；
41.针对系统入侵检测的报警频率阈值，包括在模拟状态下、车辆正常运行中，针对ecu实时操作系统的内核运行负荷数据以及车载网络的总线负载率数据进行快速傅里叶变换获得的范围值。
42.s20、收集单位时间周期内ecu实时操作系统的内核运行负荷数据以及车载网络的总线负载率数据；
43.所述总线负载率包括can总线负载率、canfd总线负载率。
44.s30、对运行负荷数据以及总线负载率数据的进行快速傅里叶变换，基于时域数据得到频域特征；
45.s40、将基于频域特征得到的计算结果与报警频率阈值进行对比，判断计算结果是否在报警频率阈值的范围内，若是，则返回执行s20；若否，则记为可疑事件，则执行下一步骤；
46.对于本发明来说，计算结果包括基于频域特征得到单位时间周期内的振幅谱。
47.s50、累积可疑事件的发生时间，判断发生时间是否超过最大容忍值，若是，则返回执行下一步骤；若否，则返回执行s20；
48.s60、系统报警，启动安全防护措施；
49.所述安全防护措施包括通过ecu关闭数据接收通道，停止数据接收。
50.在本发明中，嵌入式操作系统里面的内核运行负荷数据cpu load总的是指内核工作时间占总时间的比重，基本原理是：cpu utilization＝work_time/total_time,其中，total_time＝work_time idle_ime.总时间由一段连续时间内的cpu工作时间长度和cpu空闲时间长度组成。
51.在单处理器中，线程1先工作10ms，线程2再工作30ms，之后cpu空闲60ms。那么
100ms时间段内，cpu的利用率就是40％。现在多数ecu内核都是多核多线程模式，每个内核会有一个内核运行负荷数据的指示参数。
52.在嵌入式操作系统中，内核运行负荷数据cpu load是一段时间内cpu正在处理以及等待cpu处理的进程数之和的统计信息，也就是cpu使用队列的长度的统计信息。嵌入式操作系统是实时中断抢占式的控制系统，线程和中断抢占的队列长期保持较长也是cpu超负荷的一种表现。
53.在ecu上电工作状态下，所有的线程任务或者中断都是动态执行的，无论这个时候整车是在运行还是静止，内核运行负荷数据也是一个动态的数值，能够实时的直观体现当前ecu系统运行的健康度。
54.总线负载率是指1s内总线传输数据所占带宽的百分率。
55.快速傅里叶变换是频域分析的经典方法，能够有效提取样本序列的频域特征。
56.本发明通过对采集到的内核运行负荷数据和总线负载率，进行快速傅里叶变换，基于时域数据得出频域特征，对频率的振幅值进行获取，并与预设的、针对系统入侵检测的报警频率阈值进行比对，判定是否存在网络入侵，具有宏观标识系统健康度的优点、及降低了误报率；同时检测后的可疑事件进行计时，与最大容忍值进行比对，超出最大容忍值的则判定为存在网络入侵，进一步的，降低了误报率。
57.如图3所示，本发明公开了基于快速傅里叶变换的车载网络入侵检测装置，装置包括：
58.赋值模块71，用于针对系统入侵检测的报警频率阈值及针对可疑事件发生时间的最大容忍值；
59.数据收集模块72，用于收集单位时间周期内ecu实时操作系统的内核运行负荷数据以及车载网络的总线负载率数据；
60.数据计算模块73，用于对运行负荷数据以及总线负载率数据的进行快速傅里叶变换，基于时域数据得到频域特征；
61.阈值判断模块74，用于将基于频域特征得到的计算结果与报警频率阈值进行对比；
62.时间判断模块75，用于累积可疑事件的发生时间，判断发生时间是否超过最大容忍值；
63.结果输出模块76，用于输出最终判定结果。
64.优选的，还包括：
65.返回执行模块77，用于在计算结果与报警频率阈值对比后返回数据收集模块；及
66.发生时间与最大容忍值对比后返回数据收集模块。
67.本发明实施例提供的基于快速傅里叶变换的车载网络入侵检测装置能够实现图1的方法实施例中基于快速傅里叶变换的车载网络入侵检测方法实现的各个过程，为避免重复，这里不再赘述。
68.如图4所示，本发明公开了一种计算机设备，包括：
69.处理器81；及
70.存储器82，存储器82存储有可在处理器81上运行的程序或指令，程序或指令被处理器81执行时实现图1的方法实施例中基于快速傅里叶变换的车载网络入侵检测方法实现
的各个过程，为避免重复，这里不再赘述。
71.本发明还公开了计算机可读存储介质，可读存储介质上存储程序或指令，程序或指令被处理器执行时实现图1的方法实施例中基于快速傅里叶变换的车载网络入侵检测方法实现的各个过程，为避免重复，这里不再赘述。
72.其中，所述的计算机可读存储介质，如只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等。
73.在本技术所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，该模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。所显示或讨论的相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。
74.作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
75.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时，全部或部分地产生按照本技术实施例的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者通过该计算机可读存储介质进行传输。该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是只读存储器(read-onlymemory，rom)，或随机存储存储器(random access memory，ram)，或磁性介质，例如，软盘、硬盘、磁带、磁碟、或光介质，例如，数字通用光盘(digital versatile disc，dvd)、或者半导体介质，例如，固态硬盘(solid state disk，ssd)等。
76.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。